Informationen zur Auswirkung der zweiten Zahlungsdienstrichtlinie (PSD2) auf HBCI PIN/TAN


Die zweite Zahlungsdienstrichtlinie (PSD2) soll ab September 2019 für mehr Qualität, Sicherheit und Datenschutz im Bereich des Bankings und Bezahlens sorgen. Eine Auswirkung, um die hohen Anforderungen an Datensicherheit und Identifikation umzusetzen, ist die Zwei-Faktor-Authentifizierung (2FA), die künftig zum Standard werden soll.  Die PSD2 wird von technischen Regulierungsstandards (RTS) begleitet, die die Banken in sog. „APIs“ bis zum 14. März 2019 umsetzen müssen. Nach einem sechsmonatigen Probebetrieb sollen die APIs dann ab 14. September 2019 für alle bereitstehen. Die Umsetzung der PSD2 in nationales Recht erfolgte bereits im Januar 2018 mit dem Zahlungsdiensteaufsichtsgesetz (ZAG).

 

Was ändert sich aufgrund der neuen Bestimmungen?

Das Gesetz regelt unter anderem, dass künftig auch dann eine „starke Authentifizierung“ (SCA) vorgenommen werden muss, wenn Kontoumsätze von der Bank abgerufen werden. Das hieße, dass bei HBCI mit PIN/TAN-Verfahren möglicherweise spätestens alle 90 Tage eine TAN eingegeben werden muss, um sich dadurch erneut als Kontoinhaber zu identifizieren.  Aufgrund dieser neuen PSD2-Bestimmungen ist damit zu rechnen, dass viele der derzeit verwendeten HBCI-Sicherheitsverfahren zum 14. September 2019 oder sogar früher eingestellt werden. Insbesondere folgende Sicherheitsverfahren werden voraussichtlich wegfallen:

 

  • HBCI DDV-Chipkarten
  • HBCI-RDH-Schlüsseldateien
  • Vermutlich viele weitere Smartcard-basierte Sicherheitsverfahren

 

Für weiterhin unterstützte HBCI PIN/TAN-Verfahren können die Kontoumsätze im Modul „Simba Banking“ künftig nicht mehr so einfach abgerufen werden. Wo es bisher ausreichend war, wenn Ihnen Ihr Mandant einen Lesezugriff per PIN zur Verfügung gestellt hat, wird künftig voraussichtlich alle 90 Tage zusätzlich eine TAN abgefragt werden.

 

Welche Alternativen stehen zur Verfügung?

a) EBICS: Bei Nutzung des EBICS-Standards (aktuelle Version 2.5) bleibt das Übermittlungsverfahren wie gehabt – automatisiert und ohne zusätzliche Sicherheitsabfragen. Dieser Übermittlungsstandard unterstützt wie gewohnt unterschiedliche Berechtigungskonzepte (z. B. auch Verteilte Unterschriften – VEU).

b) „SRZ Banking“: Eine weitere Alternative bietet das Simba-Modul „SRZ Banking“. Die Kommunikation mit dem Service-Rechenzentrum (SRZ) erfolgt nach einem erfolgreich durchlaufenen Authentifizierungsprozess mit hohen Sicherheitsstandards. Nach Freigabe von Bankverbindungen durch den Mandanten können über diesen Übermittlungsweg automatisiert und ohne zusätzliche Sicherheitsabfragen Zahlungsaufträge versandt und Kontoumsätze abgerufen werden. Auch das Konzept der verteilten Unterschriften (VEU) wird beim SRZ Banking unterstützt. 

 

Was ist zu tun?

Nutzen Sie die Zeit bis zur flächendeckenden Umsetzung der PSD2-Richtlinie im September 2019. Prüfen Sie Ihre HBCI-Konten, ob eine der beschriebenen Alternativen in Frage kommt. Informieren Sie auch Ihre Mandanten über diese anstehenden Änderungen und die alternativen Übermittlungsverfahren. Bitte wenden Sie sich zusätzlich auch an Ihre relevanten Banken, um weitere Informationen zur Umsetzung von PSD2 zu erhalten. Unter www.simba.de/psd2 halten wir für Sie regelmäßig aktualisierte Informationen zu diesem Thema bereit.